Битва за аккаунт. Основатель сети Jeffrey’s Coffee подаёт в суд на ВКонтакте +81



Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и требует от него неисполнимого. Сейчас он подаёт за это на ВКонтакте в суд. Его интересы представляет Центр цифровых прав.

Алексей Миронов — основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах. Алексей часто общался с коллегами и партнёрами ВКонтакте и вел там весьма популярный паблик своей сети, насчитывающий более 50 000 подписчиков.

В ноябре 2018 года, рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали. Ему пришли SMS от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер. Алексей переадресацию не настраивал, поэтому сразу забеспокоился и позвонил в МТС. Там даже не сразу определили, что переадресация действительно есть. Отключить её оператор смог только через два часа после звонка Алексея. В МТС так и не нашли данные о том, как и когда была подключена переадресация.


Алексей проверил доступ к соцсетям и мессенджерам и увидел, что войти в них по номеру телефона уже не может. Взломщики привязали к его аккаунтам другой номер. С WhatsApp вопрос решился быстро. Сразу после отмены переадресации мессенджер восстановил доступ к аккаунту законному владельцу.

Алексей написал в поддержку ВКонтакте с просьбой вернуть страницу и отправил фото паспорта. Вечером ему пришло SMS, что заявка отклонена, так как текущий владелец подтвердил право доступа.


Специалист службы техподдержки заявил, что Алексей добровольно мог передать доступ к своей странице третьим лицам, поэтому восстанавливать ему доступ не будут. Алексей объяснил ситуацию со взломом, но у него попросили в подтверждение прислать письмо из МТС, в котором оператор подтверждал бы, что произошёл взлом. Письмо от МТС Алексей предоставил. После этого администрация ВКонтакте потребовала заверить это письмо в полиции. Такое требование очень сложно выполнить, потому что заверение писем и полномочий подписанта — это не функция полиции. Заблокировать взломанную страницу Алексей смог, только лично попросив об этом знакомых сотрудников ВКонтакте. Страницу не вернули до сих пор. Единственное, чего добился Алексей, — блокировка аккаунта. Теперь им не могут пользоваться ни мошенники, ни он сам.

Служба поддержки ВКонтакте — это отдельная история. Со службой поддержки ВКонтакте могут связаться только авторизованные пользователи. Это значит, что если вы потеряли доступ к своей странице, вы должны создать новую или просить друзей дать доступ к их страницам, чтобы написать в поддержку. Алексей переписывался со специалистами службы поддержки со страницы жены, и это не смутило их, хотя Пользовательское соглашение не разрешает передавать логин и пароль кому-то ещё.

Взлом страницы и дальнейшая потеря доступа к аккаунту и паблику, очевидно, нанесли ущерб как деловой репутации Алексея, так и его имущественным интересам. Не говоря о том, что это позволило утечь значительному массиву личной и коммерческой информации непонятно куда. Мошенники с аккаунта бизнесмена просили у его знакомых перевести им крупные суммы денег. Один человек перевёл им 34 тысячи рублей. Злоумышленники сутки имели доступ к личной информации аккаунта Алексея.

Иск против ВКонтакте


Алексей Миронов подал иск к социальной сети ВКонтакте в Смольнинский районный суд города Санкт-Петербурга и теперь ожидает назначения дела. Он просит суд обязать социальную сеть исполнить собственный договор, заключенный в форме Пользовательского соглашения и вернуть ему доступ к своей странице. Администрация ВКонтакте до настоящего времени продолжает лишать Алексея доступа к аккаунту необоснованно, тогда как он добросовестно выполнял условия Пользовательского соглашения и сразу сообщил службе технической поддержки соцсети о взломе. ВКонтакте отказалась восстанавливать ему доступ к странице, ссылаясь на пункт Пользовательского соглашения, который запрещает пользователям передавать логин и пароль их страницы третьим лицам. Агент поддержки ВКонтакте, с которым общался Алексей, заявил, что настроить переадресацию телефонного номера можно только при посещении офиса оператора и предъявлении паспорта. На деле это не так, и это подтвердил Роскомнадзор в ответ на обращение Алексея.

Социальная сеть, в нарушение Пользовательского соглашения, необоснованно ограничила доступ Алексея к использованию его страницы. Это односторонний отказ от исполнения обязательств, нарушающий п. 1 ст. 30 ГК РФ. Лишая его доступа к аккаунту, ВК также лишила Алексея и прав администрирования принадлежащего ему паблика, являющегося для него важным нематериальным активом. (О рынке пабликов как новой формы цифрового имущества и особенностях заключения сделок с ними мы писали ранее)

Дыры безопасности в системе идентификации МТС


По переписке, которую вели мошенники от лица предпринимателя, видно, что они знали о его бизнесе и командировке. Они позвонили в контактный центр МТС, смогли идентифицироваться от имени Алексея и настроили переадресацию. Злоумышленники могли получить его паспортные данные через социальный инжиниринг. Алексей Миронов — основатель франшизы, поэтому его паспортные данные могли быть у многих людей, занимающихся открытием заведений франшизы. МТС провела внутреннее расследование, но не смогла установить, кто именно установил переадресацию и как злоумышленник перехватил СМС. Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию — 750 рублей.



Мы посчитали, что идентификация абонента удаленно лишь по корректным персональным данным является весьма сомнительной практикой и написали жалобу в Роскомнадзор о проверке соответствия подобного рода процесса компании требованиям законодательства о персональных данных. В результате Роскомнадзор встал на сторону МТС, указав, что управлять услугами связи после удаленной идентификации по телефону при предоставлении корректных персональных данных — это вполне нормальное явление, а установление дополнительных способов защиты от подобного рода неавторизованных действий — это головная боль самого абонента, а не компании. (читать полный ответ — здесь)

Взлом аккаунта Алексея Миронова — не первый случай несанкционированного доступа к данным абонентов МТС. В 2018 году базу данных 500 тысяч абонентов украли в Новосибирске двое злоумышленников, один из которых был сотрудником компании. Они пытались продать базу по цене 1 рубль за данные одного абонента.

В 2016 году были взломаны телеграм-аккаунты оппозиционных активистов Георгия Албурова и Олега Козловского. Их аккаунты были привязаны к номерам МТС, и незадолго до взлома на них была отключена услуга SMS и включена переадресация. Обстоятельства взлома также не были установлены. В 2019 году Олег Козловский подал иск против МТС, но суд его отклонил.

Защита аккаунтов различных веб-сервисов и приложений от взлома относится к ответственности самого пользователя. Такой позиции придерживаются и операторы связи, и сам регулятор, согласно которой они и отказываются разделять эти риски с собственным абонентом.

РКН в своем ответе описывает это так:
“… Согласно п.2.11 Условий МТС абонентам для целей идентификации у оператора связи предоставляется возможность использования Кодового слова — указываемой Абонентом в установленной Оператором форме последовательности символов (букв, цифр), служащей для идентификации Абонента при исполнении Договора. Абонент имеет возможность установить кодовое слово как при заключении договора (в этом случае оно вносится в бланк договора наряду с обязательными реквизитами), так и в любой момент исполнения договора. Несмотря на это, абонентом Мироновым А.К. кодовое слово до момента оспариваемого подключения услуги, не устанавливалось. При таких обстоятельствах только абонент посредством установления кодового слова при идентификации у оператора связи мог нивелировать риск неблагоприятных последствий от подобного рода ситуаций, однако данной возможностью не воспользовался”.

Восстановление аккаунта. Mission impossible


Жалоба на бездействие Роскомнадзора в прокуратуру уже подана. Тем временем, полиция продолжает молчать по заявлению о преступлении. О результатах расследования внутри компании также никто ничего не сообщает. МТС никакой вины не признает. Никому нет никакого дела. При этом, ВКонтакте продолжает отказывать владельцу аккаунта в восстановлении доступа к нему, пока он не принесет из полиции Постановление о возбуждении уголовного дела с установлением указанных фактов и письмо от МТС, в котором будет подтверждение оспоримости услуги по переадресации. В письме с достаточно пространными пояснениями есть еще требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице. Ответ поступил в конце прошлой недели, и учитывая всю тупиковость ситуации и невозможность договориться с ВКонтакте на протяжении уже полугода, мы и обратились в суд.



Как обезопасить себя от взлома


Получить доступ к управлению телефонным номером злоумышленники могут и через другие уязвимости — протокол SS7 или получение дубликата сим-карты с помощью недобросовестных сотрудников оператора.

SS7 – это технический протокол, который используют операторы связи. Он содержит старую и, судя по всему, неустраняемую уязвимость, которая позволяет перехватывать данные, передаваемые абонентами во время звонка или в SMS. Доступ к SS7 есть только у операторов, но злоумышленники могут получить его, купив доступ в даркнете у операторов малоразвитых государств или через недобросовестных сотрудников мобильных операторов. Атака происходит, когда взломщик меняет адрес биллинговой системы абонента на адрес своей. Чаще всего злоумышленники этим сообщают системе, что абонент в международном роуминге, поэтому самый простой способ обезопасить себя — отключить возможность международного роуминга, если вы им не пользуетесь.

Еще у Алексея Миронова не была настроена система двухфакторной аутентификации для Вконтакте. Такая функция появилась в ВК в июне 2014 года. Возможно, она смогла бы защитить его аккаунт от взлома. Стоит помнить, что простая привязка аккаунта к номеру телефона — это не двухфакторная аутентификация. Двухфакторная аутентификация — это защита входа в аккаунт, когда в дополнение к паролю совершают ещё одно действие. Самый распространённый вариант — SMS-код. Этот способ не самый надёжный, так как злоумышленники могут перехватить SMS-сообщение. Более безопасные варианты — файл-ключ, временные коды, мобильное приложение и аппаратный токен.

К сожалению, мы вынуждены жить в эпоху, когда обеспечение защиты данных становится нашей собственной проблемой. Надеятся на то, что операторы будут самостоятельно нести ответственность в случае взлома, как видно, не приходится. Также как и надеяться на Роскомнадзор, который уже давно оторвался от реальности в своей практике по защите данных. Пробить броню «отказного материала» участкового, которому спустят ваше заявление по аналогичному случаю — невероятно сложно, особенно простому человеку, не знающему как работает это система. Что же остается? Не забывать про цифровую гигиену, доверять математике и защищать свои права в суде.

image

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (179):

  1. tvr
    /#20417999 / +5

    Успеха в правом деле! Аккаунт вернуть, раззвиздяям из МТС и техподдержке* VK — засадить по самые гланды сделать атата и взыскать денежку. И обязательно освещать ход процесса во всех доступных источниках информации.
    *Тех — поддерживаем, а этих — нет!

    • shepardeg
      /#20423113

      Поддержка вконтакте некомпетентна. Оставлял жалобы на мошшеничество, на ботов, на спам, ничего не сносится. Заходишь в какой-нибудь популярный паблик посмотреть видосики, а там куча мусорокоментов от ботов, несвязанных никак совершенно.

      И так в любой сфере.

  2. kaleman
    /#20418065 / -11

    Простите, а зачем взрослому, разумному человеку сидеть ВКонтакте?

    • balexa
      /#20418081 / +11

      Простите, а зачем взрослому, разумному человеку писать комментарии под постом, в котором он не смог прочитать даже второй абзац, например?

    • sardarbinyan
      /#20418103 / +1

      потому что там клиенты, многим из которых ВК представляется удобным средством коммуникации.

      • severgun
        /#20418705 / -3

        Бизнес который в 2019 году ведет дела вконтакте вместо веб страницы на собственном домене считаю некомпетентным, подозрительным. Видимо я не целевая аудитория кофеен.
        Продавать франшизу через посты в группе — смех. Лайк, репост.

        • tvr
          /#20418771 / +1

          Бизнес который в 2019 году ведет дела вконтакте вместо веб страницы

          У вас опечатка. Не вместо, а вместе с…
          И да, бизнес должен присутствовать везде, где есть заметное количество его плтежеспособных клиентов.

        • ildarz
          /#20418837

          Откройте для себя сферу SMM. ;) "Веб-страницы на собственном домене" — это прошлое десятилетие, сейчас в бизнесе, ориентированном на конечного потребителя, этого недостаточно.

          • Gurturok
            /#20421321 / -1

            SMM — это для общения с потребителями, а тут говориться про «партнеров», т.е. чувак обыкновенный ССЗБ.

            • ildarz
              /#20421565

              Партнеры — это такие же люди, точно так же ходящие в соцсети.

              • Gurturok
                /#20421665

                И что? Это не повод вести с ними коммерческие беседы и передавать приватную информацию через каналы не заслуживающие доверия (соц. сети)

                • ildarz
                  /#20421841 / +1

                  А как надо вести коммерческие беседы? :) В наглухо изолированной комнате, оставив за ее пределами все современные девайсы? :)

                  • zetroot
                    /#20423205

                    Именно так, если есть основания полагать, что «девайсы» и среда могут представлять опасность для сути коммерции. Теперь таких оснований становится больше.

                  • Gurturok
                    /#20423651

                    Зависит от конкуренции и оборотов бизнеса.

        • am-habr
          /#20419217 / +1

          К своему сожалению, как-то обнаружил, что в 2019 году на веб страницы и собственные домены люди больше не ходят, интернет с людьми принадлежит соц. сетям и поисковикам.
          Но вот вконтакте сильно подотстал с технологиями.
          "… так как текущий владелец подтвердил право доступа" — это он типа прислал смс с нового номера. Им бы этот номер на особый контроль взять, а не отписки писать.

        • DrPass
          /#20419755 / +1

          Видимо я не целевая аудитория кофеен.

          Может, и целевая аудитория, но скажу обидную вещь: вы просто несколько отсталый от времени человек :)
          Лет так на 10 точно. Это в прошлом десятилетии каждый приличный бизнес должен был обязательно заводить сайт. Сейчас сайты для многих видов розничного бизнеса уже давно малоэффективны. Какие-то вещи, где требуется подбор товара по характеристикам, комплектация, до сих пор продаются через сайты. А вот кофе, косметика, аксессуары и т.д. давно уже ушли в соцсети. Ну т.е. сайт может и пригодится, но большинство интернет-покупателей на него никогда не зайдут, они как раз будут получать информацию о таких брендах, не вылезая из своего любимого вконтактика.

          • Protos
            /#20431747

            В РФ даже банк появился доступный только в мессенджерах

        • JerleShannara
          /#20419795 / +1

          Тоесть у бизнеса целевая аудитория никогда не может присутствовать в ВК и прочих соцсетях? Интересно довольно, мне всегда казалось, что всякие барбершопы/кофессобой/ноготочки и прочий около-хипстерский бизнес какраз имеет основную аудиторию в виде пользователей соцсетей.

        • JesusChristsRaccoon
          /#20420507 / +4

          А на чем вы основываете свои выводы? Зачем кофейне свой сайт? Группа в ВК покрывает 80% требований, если не больше. А иметь свой сайт это расходы.

          • usheynet
            /#20420715

            Веб-страница как баковая вещь необходима, кто ж спорит. Это по прежнему и вопрос статуса, и техническо-организационный. Во всех соцсеточках присутствовать не получится, и пользователи из вейбы, например, будет чаще попадать на сайт. В общем, «серьезных корпоративных» плюсов много, как от своей телефонии/чата/почты. Но и соцсеточки я не отменяю.

            • vladkorotnev
              /#20420781

              И какое количество пользователей вейбы реально прийдёт в условную кофейню в подмосковье?

          • Gurturok
            /#20421379 / -1

            Кофейне ни сайт ни группа в вк не нужны. Хорошее расположение, вменяемый коллектив и адекватные цены.

            • aram_pakhchanian
              /#20421453

              Вы из своего опыта рассказываете?

              • Gurturok
                /#20421737

                Из наблюдений. Например около Автозаводской между выходом из Метро и бизнес центрами есть кофейня с абсолютно отвратительными десертами и прочим хавчиком, но кофе варят сносное. И каждое утро у них очереди из тех кто идет на работу в БЦ. Людям просто по дороге и цены ниже чем в «элитных» кофейнях ближе к БЦ. Из рекламы, только вывеска над входом.

                А если открыть кофейню спальном районе в жопе мира, где нет человеко-потока, то как не рекламирую и не раскручивай через SMM нито, ну кроме пары местных хипстеров, туда ходить не будет и кофейня загнется.

                • aram_pakhchanian
                  /#20421805 / +2

                  С тезисом по поводу хорошего места спорить сложно. Но не надо забывать, что и арендатор знает, что место хорошее. Поэтому очередь каждое утро ещё не признак финансового процветания. И десерт у них такой вполне возможно именно потому, что денег нет на что-то более приличное. И никогда с таким подходом они в сеть не вырастут.


                  А в статье речь о сети, где ключевым фактором является постоянный рост и лояльность. Поэтому без маркетинга никуда. А сегодня маркетинг без соцсетей — это как человек без головы.

    • GigaLORDex
      /#20418105

      «Мошенники украли страницу ВКонтакте предпринимателя»

      • Acuna
        /#20419347

        del

        • GigaLORDex
          /#20419431

          И Вы не поверите, я человеку процитировал ответ на его вопрос, который начинался с первых строк статьи.

          А то, что предприниматели сидят в различных соц.сетях, целевая аудитория и прочее, это я итак знаю :) Вынуждены в наше время? )))) Предприниматель пришел на ту площадку, которую организовал дядя ВК, ровно так же, как предприниматели приходят на какой-нибудь ЭКСПО или рынок, где также некий дядя организовал целевую аудиторию.

          Есть спрос, есть предложение, и есть место встречи ;)

    • EEElice
      /#20418129

      Дружище, слишком толстый сарказм, не надо

    • Blesna
      /#20418147

      Взрослый и разумный прочитает статью и поймёт.

    • Acuna
      /#20419369

      Вы не поверите, но для успешного введения бизнеса в наше время предприниматели вынуждены контактировать с целевой аудиторией, которая сидит не только ВК, но и… готовы? В инстаграмме! Да, мой юный друг, в том самом инстаграмме, где большинство выкладывают свои селфи и фото еды. Такие дела…

      • ne_kotin
        /#20419425

        Вы не поверите, но для успешного введения бизнеса в наше время предприниматели вынуждены контактировать с целевой аудиторией, которая сидит не только ВК, но и… готовы? В инстаграмме!

        А потом та самая целевая аудитория плачется на одном очень популярном развлекательном ресурсе, что их кинули такие вот вконтакто-инста-скаммерсанты при «заказе свадебного торта в инстаграме» (хотя логично заказать в ближайшей кондитерке), или «хэндмейд украшений вконтакте» (а стоило поискать по стыренным фоточкам оригинал на лайвмастере).

        • Acuna
          /#20419477

          К сожалению, к возможностям честного введения бизнеса часто примазываются мошенники, это происходит в любых более-менее прибыльных нишах, увы, ибо не у всех хватает талантов начинать что-то с нуля, а только эксплуатировать уже готовые, кем-то созданные схемы, фейковых онлайн-магазинов не с социальных сетях тоже полно. А по этой логике нужно вообще инстаграм закрыть, да что там, вообще в интернете не сидеть, ибо в нем столько мошенничества!

          • ne_kotin
            /#20419521

            А по этой логике нужно вообще инстаграм закрыть, да что там, вообще в интернете не сидеть

            По этой логике покупать что-то через развлекательный/коммуникационный ресурс, для этого не предназначенный — легкомысленно.
            Есть интернет-магазины же.

            Ну и насколько я знаю — товары и услуги через тот же инстаграм продаются крайне хреново. Хорошо продается лайфстайл, что прямо демонстрирует популярность топ-блоггеров.

            • Acuna
              /#20419573

              Это так, однако домохозяйки находят эту площадку удобной для покупки чего-либо не закрывая свою ленту, поэтому почему-бы не давать им то, что они хотят, честно (я подчеркиваю это), ну и опять же, хреново продаются они в наших реалиях (почему не могу сказать, это тема отдельного исследования), однако мне вспоминается опыт часового бренда Daniel Wellington, который по сути продает китайские часы за пять баксов, но на нейминге выезжает на продажах в инсте так, что год назад его основатели проснулись миллиардерами. Есть еще The 5th Watches, работают по той же схеме, тоже дела идут неплохо, но опять же в Штатах. В любом случае, сообщества — это лояльность аудитории, она любит к себе индивидуальный подход, даже если продаж нет вообще, и когда человек вкладывает в раскрутку своего сообщества время и и силы, а потом теряет его, тогда как никто никому ничего не должен — это не дело. Так что даже не в продажах дело тут.

            • Am0ralist
              /#20420023 / +2

              Есть интернет-магазины же.
              Среди которых мошеннических тоже с половину будет даже через яндекс.директ? Ну-ну…

            • MacIn
              /#20420285 / +1

              Ну и насколько я знаю — товары и услуги через тот же инстаграм продаются крайне хреново.

              Ваше знание неверно.
              Услуги через инстаграм продаются замечательно. В конкретном случае, который у меня перед глазами — лучше, чем на любой другой площадке.

              Это все уже давно не только развлекательные ресурсы, а вполне себе коммерческие площадки. Лет 10 так точно.

              • ne_kotin
                /#20420383

                Услуги через инстаграм продаются замечательно. В конкретном случае, который у меня перед глазами — лучше, чем на любой другой площадке.

                «Лучше чем на любой другой площадке» — вовсе не значит хорошо.
                По крайней мере я не знаю ни одной популярной success story продажи услуг или товаров, пользующихся широким спросом (не нишевых).

                вполне себе коммерческие площадки.

                конечно (: деньги ж с пользователей косят.

              • sardarbinyan
                /#20420513

                интересно какой будет убыток для отрасли от блокировки ИГ если дядька Жаров наконец с ультиматумов перейдет на исполнение санкций к FB и всем их сервисам? Злые языки говорят, что осенью грядет…

            • Protos
              /#20431751

              Не соглашусь, нормально продается, например, услуга свадебного фотографа, а стоимость ее может за 100к? переваливать

            • DrPass
              /#20434025

              Ну и насколько я знаю — товары и услуги через тот же инстаграм продаются крайне хреново

              Смотря какие товары и услуги. Например, макияж, маникюр и сопутствующие им товары через инсту улетают не хуже, чем шаурма в ларьке на вокзале.

  3. androidovshchik
    /#20418097 / +2

    Очередной пример, показывающий что привязка телефона к аккаунту — зло

    • Matisumi
      /#20418115

      А к чему еще привязывать? Раньше все аккаунты обязательно привязывались к почте, но почту взломать тоже не проблема.

      • ilammy
        /#20418233

        В идеальном мире — ни к чему. Владение аккаунтом доказывается владением секретным ключом. Протерял ключ — протерял аккаунт. Но это работает только для криптопараноиков, а не широких масс народонаселения, что делает поддержку этого варианта аутентификации экономически невыгодным. (Есть варианты с подтверждением личности и доступа через другие аккаунты в других сетях, ключи к которым не были скомпрометированы или утеряны. Но дружить с другими сетями экономически не особо выгодно для социальных сетей, живущих за счёт торговли консолидированной персональной информацией.)

        • severgun
          /#20418833

          Что насчет Google Authenticator кодов?

          • ilammy
            /#20418919

            Это вариант секретного ключа. Google Authenticator генерирует циферки из текущего времени и секретных данных, которые передаются при добавлении нового аккаунта, и которые ваш смартфон не должен разглашать посторонним.

          • sardarbinyan
            /#20420517

            это лучший вариант, конечно. Но Алексей, к сожалению, не подумал о нем раньше в отношении ВКшечки.

          • unwrecker
            /#20422731

            Очень, очень стрёмно. Насколько я понял, как-то штатно его забэкапить нельзя. Храню бэкап, снятый через titanium, но у него есть риск не восстановиться на другой версии.

            • whyme
              /#20423229

              Google Authenticator это просто TOTP (Time-based One-time Password algorithm), вам не нужно ничего бэкапить, вам нужен просто сохранить ключ, который вам показывают вначале (частенько его показывают QR-кодом). Его обычно настоятельно рекомендуют сохранить или выписать на листочек. После этого вы можете забивать этот ключ в любой TOTP клиент и получите свои коды.

              Кстати клиент google лучше не использовать (Google Authenticator работает с любым TOTP клиентом), он отправляет ключи в облако, если украдут ваш аккаунт — украдут сразу и все ключи. Лучше использовать что-нибудь, что не лезет в интернет, благо сейчас почти любой password менеджер умеет TOTP.

              • nidalee
                /#20423899

                он отправляет ключи в облако
                К сожалению, он этого не делает. Потерял так ключи от Firefox.

                • whyme
                  /#20424465

                  Я не понял какие ключи вы потеряли, я, если что, имел ввиду Google Authenticator на Android, который по умолчанию складывает все ключи в облако, чтобы вы их могли восстановить на другой телефон (ну по крайней мере так было 3 года назад).

                  • nidalee
                    /#20424489

                    Ключи, которые сохранены в Google Authenticator, в облако не бекапятся. Собственно, на 4pda народ колхозит методы по переносу этих ключей с телефона на телефон, думаю, что не просто так.

                    • whyme
                      /#20424599

                      Не буду спорить, но около 3 ех лет назад переезжая на новый телефон, после ввода старого аккаунта google подтянулись все ключи. Я вроде даже галочку находил, если мне не изменяет память, что-то типа «Не делать резервные копии ключей в облако». Сейчас нет под рукой андроид устройства, не могу посмотреть.

                      Возможно на 4pda тоже не актуальная информация, потому что быстрый поиск отправляет на страницу security аккаунт гугла, где есть опция переноса на другой телефон.

                      • FFxSquall
                        /#20424757

                        Опция Change Phone меняет ключ аутентификатора, если вы вдруг сменили телефон и надо на нем по новой настроить аутентификатор к аккаунту Google. Google Authenticator не хранит ключи от других сервисов в облаке, возможно на старте сервиса он это делал (но вряд ли), но как минимум года 4 он этого точно не делает.

      • AbstractGaze
        /#20418535 / +1

        Можно и не привязывать, у меня до сих пор аккаунт не привязан к телефону, хотя они каждый вход об этом напоминают.
        Если у вас не проблема взломать и аккаунт, и почту, и почту для воостановления — держите свой домашний почтовый сервер для восстановления доступа и включайте его только тогда когда вам надо.

        • DaemonGloom
          /#20420957

          Видимо, нельзя уже. По крайней мере, с меня настойчиво требуют телефон сейчас, отключив возможность комментирования записей. Если отказаться — комментария не будет. Спамером/флудером меня назвать сложно было — раз в несколько дней что-либо комментировал, не чаще.

          • den_po
            /#20420971

            Меня тут одна музыкальная команда вынудила зарегистрироваться в фб (для бесплатной скачки альбома), так на следующий день фб меня забанил, потому что регистрация и вход — "подозрительные действия". Для разблокировки требует номер телефона.

            • xenon
              /#20421377

              В скайпе та же история.

            • m1n7
              /#20421385

              ФБ давным-давно так вытягивает номер телефона.

            • yeswell
              /#20421451 / +1

              И твиттер точно таким же образом действует. Сразу после регистрации

              • sumanai
                /#20422683

                Да все так действуют. «Ваш пароль взломали», «Подозрительная активность». В лучшем случае «Повысьте безопасность своего аккаунта» с возможностью отказаться.

      • Tangeman
        /#20418711

        но почту взломать тоже не проблема

        В зависимости от ряда факторов — это может оказаться большой или даже неразрешимой проблемой (для сервисов типа protonmail или чего-то своего с аналогичным уровнем защиты).

        Разумеется, терморектальный и аналогичные способы никто не отменяет, но если их исключить — то почту как раз сравнительно легко сделать невзламываемой.

        • androidovshchik
          /#20418873 / -1

          Можно узнать, почему вы упомянули protonmail? Это ведь временная почта, предлагаете привязывать ее?)

          • Tangeman
            /#20418963

            В смысле — временная? Это обычный почтовый сервис, с бесплатными и платными аккаунтами, только с наворотами типа зашифрованного ящика.

            Бесплатные аккаунты имеют ограничение в 500MB на ящик, минуc ещё малозначимые плюшки, но сами аккануты отнюдь не временные.

            • bodqhrohro
              /#20420547

              но сами аккануты отнюдь не временные
              Это пока его судьба Lavabit не постигла.

              • Tangeman
                /#20420777 / +1

                Вероятность такого исхода очень мала — это всё же Швейцария, а не США, чтобы случилось то что было с Lavabit, придётся менять законы, а в стране с прямой демократией это очень непросто, особенно если это затрагивает приватность.

                Впрочем, шифрование сообщений мало связано со сложностью взлома аккаунтов — правильные протоколы + хороший пароль и 2FA (или даже 3FA) — и всё, бояться можно только трёхбуквенных, что малоактуально для подавляющего большинства пользователей.

                Но если уж говорить о временности, то никакой мыло-провайдер не застрахован от смерти, платный или бесплатный, включая Google и Microsoft.

                • geher
                  /#20423265

                  Вероятность такого исхода очень мала — это всё же Швейцария, а не США, чтобы случилось то что было с Lavabit, придётся менять законы, а в стране с прямой демократией это очень непросто, особенно если это затрагивает приватность.

                  С банковской тайной, однако, как-то решили вопрос.
                  Так что в данном случае скорее вполне уместно "вы находитесь здесь". Просто они в самом начале пути.

                  • Tangeman
                    /#20427665

                    При любом раскладе на невзламываемость аккаунтов (со стороны кулхацкеров) это не повлияет. Возможность доступа к аккаунтам (точнее, их содержимому) всяких спецслужб — это совсем другое.

        • dimm_ddr
          /#20422511

          Protonmail вроде же проприетарные и у них вообще какой-то свой несовместимый ни с кем другим протокол? Я не специалист и мог что-то не так понять конечно, но вроде бы это не простой почтовый сервер с ним как с почтовым сервером работать не получится.

          • Gurturok
            /#20423709

            У них есть шифрование писем между своими почтовыми ящиками, если хочешь отправлять на другие домены — то уйдет открытый текст. Принимать с других доменов открытый текст тоже можно. Почти весь функционал за деньги, даже банальный доступ через thunderbird (там какая то настройка для него идет).

      • Gurturok
        /#20418791

        Привязка к телефону и почте — это не про приватность, а для защиты от массового создания СПАМ аккаунтов. Только сейчас добавилось еще: сбор телеметрии, идентификация для «органов» ну и тупому хомячку проще ввести номер телефона, который всегда в кармане, чем идти и заводить электронную почту. А про приватность, это уже сказки чтобы не пугать доверчивую аудиторию.

        • sardarbinyan
          /#20420523

          при определенном уровне диджитал паранойи и криптозащите — это все же не сказка, а возможность жить иначе. Но как говорят омерикане, Privacy is a luxury!

        • bodqhrohro
          /#20420689

          а для защиты от массового создания СПАМ аккаунтов
          Почта здесь ни при чём; привязка к почте от генерирования аккаунтов пачками спасает никак. Ещё эдак с конца 90-х, когда почта перестала быть средством идентификации личности, из-за распространения публичных почтовых сервисов со свободной регистрацией (до этого почтовые ящики в основном выдавали провайдеры, работодатели, университеты...) Можно выкрутиться белым списком почтовых серверов, которые пресекают автоматизированную регистрацию — но не нужно, ибо проще прикрутить вместо почты OAuth.
          чем идти и заводить электронную почту
          У пользователей самой популярной мобильной ОС, как правило, электронная почта есть. Вот только многие об этом не знают… Прослеживается печальная аналогия: в 00-х так было с Jabber, и сейчас он скорее мёртв, чем жив.

      • Acuna
        /#20419421

        Кстати спросить хотел, как раз пользуясь случаем, неужели возможно взломать даже гугловский ящик? Вроде бы перебор не получится, ибо количество попыток ограничено, насколько я знаю, взломать можно только через фейковую страницу при переходе из письма из разряда была попытка взлома вашего ящика, смените пароль, перейдя по ссылке. Но мне кажется это вообще пользователь должен быть бабушкой, чтобы в наше время повестись на такое. Хотя это я погорячился, моя бабушка в наше время на такое уже не поведется. Или я чего-то не знаю?

        • JerleShannara
          /#20419831

          Идём на самых максималках(т.е. вы приглянулись не кулхацкеру Васе, а АНБ/МИ6/ФСБ/МОССАД). В вашей ОС есть какая-нибудь 0-day уязвимость. У вашего антивируса тоже есть какая-то дыра. Я вам через эту комбинацию закидываю троян (и ставлю его в белый список антивируса и фаервола) и кейлоггер(тоже туда). Как только вы отошли от ПК — я меняю пароль на другой (т.к. старый ваш я спёр). Двухфакторку — описанным в статье способом получаю SMS с кодом. И гудбай гуглопочта.

          • Acuna
            /#20420485

            Ого! Ну понятно. Но надеюсь обычные люди (именно обычные люди, не интересные власти) и предприниматели среднего звена в эту категорию не попадают? А-то как-то не смешно это выглядит если честно.

          • markmariner
            /#20421789

            Но ведь я крайне редко ввожу пароль от аккаунта на компьютере!

            • JerleShannara
              /#20425887

              Удалю вашему браузеру куки на гуглопочту, введёте сами.

      • Finesse
        /#20420843

        TOTP, например, через Google Authenticator (несмотря на название, Google не участвует в процессе аутентификации)

        • sumanai
          /#20422727

          Во многих местах его не включить без указания телефона, а с телефоном в итоге можно забить на одноразовые пароли.

          • Finesse
            /#20423157

            Где,, например? Я пользуюсь им в Google, GitHub и GitLab. В Google номер телефона я отвязал от аутентификации, а в других не указывал вообще. Для восстановления утерянного идентификатора используются 10 кодов, полученные при включении 2FA.

            • sumanai
              /#20423787

              В Google номер телефона я отвязал от аутентификации

              То есть всё таки дали. И я не уверен, что даже отвязав не получится восстановить пароль с его помощью.
              А другие это яндекс с мейл ру. Такие себе сервисы, но всё таки достаточно большие.

    • ragman
      /#20418157 / +1

      Привязка к телефону — не мера безопасности, а способ идентификации пользователя. Гос-во обязало соцсети идентифицировать пользователей — соцсети выбрали вариант с телефоном.

      • NetBUG
        /#20418657

        Вк занялся этой хренью ещё до обязанностей идентифицировать, году так в 2011.

    • nikolayv81
      /#20425755

      Но законодатели требуют, и вот уже не зарегистрироваться нигде без номера...

  4. vdo2000
    /#20418131 / +1

    В письме МТС закрасили номер абонента в одном абзаце, а в другом благополучно отставили. Теперь все знают номер Миронова К.А.

    • sardarbinyan
      /#20418137 / +1

      спасибо, что обратили внимание. Исправили

  5. tvr
    /#20418161

    Кстати, а почему бы не пригласить на трибуну начальника транспортного отдела?
    VK же весьма широко представлен на Хабре, как и МТС.

    • sardarbinyan
      /#20418211 / +1

      Я только рад буду, если они что-то прокомментят по делу. как же их позвать?

      • Foggy4
        /#20419469

        А они сами придут. Все эти компании тщательно отслеживают любые упоминания о себе, особенно негативные через системы типа brandanalytics. Так что, думаю скоро с вами свяжутся и предложат урегулировать спор в приватном поле, а статью удалить.

        • sardarbinyan
          /#20420529 / +2

          пусть связываются, решим мирным способом, если клиент будет согласен. Ничего удалять не будем. Что написано на Хабре, не вырубишь и топором!

      • tvr
        /#20433831

        как же их позвать?

        Примерно так:
        Summon, akonst!

  6. old_bear
    /#20418201

    Никому нет никакого дела.

    Ну, собственно, это сейчас основная государственная идеология. Так что ничего удивительного в происходящем нет.

  7. fufar
    /#20418231

    У меня тоже увели группу коммерческого заведения(бара), пинались с техподдержкой несколько месяцев, но так и не добились результата. Пришлось завести новую

    • sardarbinyan
      /#20418553

      ну я понимаю, это системная проблема

      • exception13x
        /#20418723 / -1

        Надо просто переименовать Службы тех. поддержки пользователей в Службы тех. отмазки компании. Чтобы иллюзии не возникало.

        • ne_kotin
          /#20419169

          Надо просто переименовать Службы тех. поддержки пользователей в Службы тех. отмазки компании.

          Да просто переименовать в «службы тех». Достаточно. Службы тех, службы этих.

        • den_po
          /#20420977

          Техподдержка вк это же не сотрудники, насколько я знаю, а просто какие-то непонятные люди.

  8. AC130
    /#20418249

    требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице

    Ну как бы если была сделана переадресация СМСок на другой номер, то единоличным пользователем он не являлся. Под "пользованием" тут, очевидно, подразумевается возможность читать СМСки, на которую завязана авторизация ВК.


    Ремарку про собственность я так и не понял. Я могу дать любому человеку воспользоваться моей вещью (да хоть позвонить с телефона), и уже не буду "единоличным пользователем", но буду единственным собственником.

    • vdo2000
      /#20418515

      Тут скорее всего имеется ввиду, что именно частное лицо владеет номером, а не корпоративный клиент. У корпоративной сим-карты владелец организация, а пользоваться ей могут любые её сотрудники

    • Tangeman
      /#20419109

      Под «пользованием» тут, очевидно, подразумевается возможность читать СМСки, на которую завязана авторизация ВК.

      По такой логике заглядывающий из-за спины в телефон злоумышленник — тоже «совместный пользователь» — возможность читать у него есть. Равно как и у массы других потенциальных «пользователей», с помощью банального бинокля, например, не говоря уже о более продвинутых методах перехвата SMS, не предполагающих обязательного разрешения владельца.

    • sardarbinyan
      /#20423109

      ну это как бы, «принести справку, что вы один могли пользоваться симкой». Ну если цель, загнобить клиента, то конечно это тоже позиция.

  9. ildarz
    /#20418299

    В письме с достаточно пространными пояснениями есть еще требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице.

    Запросто может быть ситуация, когда человек номером пользуется, но де-юре этот номер принадлежит другому лицу (от семейных и корпоративных тарифов до чужой симки).

  10. vanyas
    /#20418485

    Так а вконтакт разве что-то обязан своим пользователям? Договор то с ними никто не заключает и денег не платит

    • sardarbinyan
      /#20418593

      как это не заключает. А на каком основании вы думаете, они ПДн обрабатывают? А вы считаете, это не договор? И денюжки они вполне собирают. Не забывайте, что у ВК есть «голоса».

      Голоса — универсальная условная единица для приобретения платных возможностей приложений ВКонтакте, а также подарков и стикеров.

      • severgun
        /#20418649

        Пользовательское соглашение не договор на оказание услуг. Если бы вы прочитали его, то заметили, что Обязанности пользователя есть, а обязанностей администрации нет. Только права и возможности.
        Нет там пункта, что кому то должны, что то восстанавливать по фотке паспорта.
        Его фотка ничем не отличается от фотки мошенников.

        • ildarz
          /#20418867

          Пользовательское соглашение не договор на оказание услуг. Если бы вы прочитали его

          … то увидели бы, что это публичная оферта, т.е. предожение заключить договор на указанных условиях.

          • severgun
            /#20418897 / +1

            А куда вы дели мои слова в своем ответе? "… на оказание услуг."
            Вам предоставляют возможности, а не услуги за качество которых вы можете что то спросить.

            • ildarz
              /#20418973 / +1

              В ГК РФ нет договоров "на предоставление возможностей". ;) И речь идет не о "качестве" услуг, а о совсем других вещах (передаче соцсетью контроля за аккаунтом третьим лицам). Что касается того, что и кому "должна" администрация, то заключение договора автоматически влечет за собой не только то, что в соглашении написано, но и ряд других обязательств в соответствии с законом. Входит ли в эти обязательства восстановление доступа пользователя к своей странице в случае взлома — вопрос лично для меня пока открытый. Если это дело дойдет до суда, увидим.

              • Am0ralist
                /#20419383

                Передача персональных данных мошенникам и отказ вернуть её владельцу… хм…

              • funca
                /#20420131

                на нет и суда нет, юристы не зря свои деньги получают.

        • Acuna
          /#20419457

          Не, ну логично, чо, взломали страницу, человек потерял раскрученное сообщество, другие пользователи отдали крупные суммы денег, казалось бы, ВК бы должен это прекратить хотя-бы чтобы восстановить свою ни раз очерненную репутацию, но нет, они никому ничего не должны, никто ни с кем договоров не заполнял, да и вообще никто никому не должен. И ладно бы только на Хабре была бы такая аудитория, но на любом ресурсе откуда-то такие вот появляются. Откуда вы вообще беретесь? У вас какая-то программа стоит для мониторинга таких комментов, или это просто такой общий тренд безразличия ко всему инициируется общими силами толпы? И главное зачем? Вроде бы это нормально для цивилизованного общества уметь выступать за свои законные права, не? Хотя кого это я цивилизованным обществом назвал, живя в этой стране, господи, это я оговорился, извиняюсь…

          • Samoglas
            /#20423303 / +1

            Это синдром выученной беспомощности — емкость с блохами накрывают стеклянной пластиной, они при прыжке начинают об нее биться. Потом пластину убирают, а блохи продолжают прыгать с очень маленькой высотой и уже не могут покинуть емкость, хотя их ничего не ограничивает, кроме собственных страхов.

            Эти «блохи» ходят по ресурсам и вещают про стеклянную пластину, которой могло и не быть вовсе.
            Не прыгай высоко — расшибешься! Возможно, их уже родители напугали.
            У нас целая страна таких, я не лучше, но иногда из склянки все же выпрыгиваю, даже если разбиваю лоб, а то и пластину.

            • Acuna
              /#20423421

              Вот-вот, даже в избранное коммент занес, всегда в таких случаях убеждаюсь насколько это удобная штука! :) На самом деле да, окружение, воспитание, огромную роль играют в формировании мировоззрения, и очень сложно оставаться в хорошей форме когда таких большинство. Но это просто надо, ибо это часть работы над собой и самосовершенствование.

              • Samoglas
                /#20425045 / -1

                Вот-вот, даже в избранное коммент занес,...

                Мне приятно, в противовес тому, то на Хабре, бывает, некоторые бьют стеклянной пластиной по голове, шоб уж наверняка.
                И у Вас даже 5 публикаций не помогли держаться в плюсовой зоне кармы.

                • Acuna
                  /#20425109 / -1

                  Ой, и не говорите, больная тема для меня, и не из-за нее самой, ибо я всегда говорю что мне не нужно меряться органами ни с кем, а из-за ограничений на комментирование, связанных с ней. Вроде и достойный аккаунт по комментам и статьям, а на него даже ссылку нигде не указать если работодатели просят, ибо попробуй докажи что такая карма — это результат отражения других в зеркале, изображение в котором им явно не нравится, а не потому-что я тут местный тролль. Раньше писал, да, надеясь что это будет полезно другим, но потом понял что смысла это особого не имеет, только занимает много времени и сил, потому-что я стараюсь все делать основательно. Так что так и перепинаюсь с -10 до -8, как говорится «не благодаря, а вопреки»…

                  • Samoglas
                    /#20426253

                    Вроде и достойный аккаунт по комментам и статьям, а на него даже ссылку нигде не указать если работодатели просят,...

                    О, гениально. Такое в голову мне не приходило.

                    Получается, нужно сладенький аккаунт делать специально под такие цели, с каментами, учитывающие тонкую душевную организацию (может оскорбить примерно всё) пары десятков местных социофобов, способных завалить любой аккаунт в зону молчания.

                    • Acuna
                      /#20427151

                      Получается что так :( Никто не думал что Хабр с самого начала каким-то образом будет методично собирать таких личностей под свое крыло.

    • severgun
      /#20418621

      Так вроде на ВК и нет заявы. Просто обидки в статье.

  11. rushter
    /#20418487

    Уже был прецендент, когда с одного из операторов взыскали больше 10 млн. украденых денег. Человек был долго за границей и у него украли все деньги путем смены владельца сим. карты.

    Суд посчитал, что оператор обязан возместить обытки, так что этот вариант тоже иногда рабочий.

  12. severgun
    /#20418565

    Сколько стоит такая же статья, но с лягушонком Пепе и Теле2?

    • sardarbinyan
      /#20418613

      мы не продаем заказных статей. Вопрос не к нам

  13. maintlab
    /#20418599 / -1

    Кто хоть раз бодался с Роскомнадзором понимает, что они всегда встанут на сторону не частного лица.

  14. Gurturok
    /#20418755

    Алексей часто общался с коллегами и партнёрами ВКонтакте

    Алексей конечно эталонный ССЗБ, но неужели эта секта не позволяет настроить ДвухФазную(Факторную) аутентификацию для аккаунта?

  15. JC_IIB
    /#20418797

    SS7 – это технический протокол

    Это не протокол.
    Атака происходит, когда взломщик меняет адрес биллинговой системы абонента на адрес своей.

    Вам известны какие-нибудь технические подробности такой атаки?

    • ReklatsMasters
      /#20419867

      у ptsecurity была статья тут про взлом SS7.

      • JC_IIB
        /#20420613

        Какая из, их у них несколько и все — старые, причем последняя про «доступ к SS7 через радиоподсистему» — вовсе не про «взлом», а про то, как кто-то оставил на железке дефолтные пароли, за что и поплатился. Впрочем, по поводу «взломов SS7» хорошо написал Barabek:

        [...] если, конечно а) получится договориться с оператором, чтобы кто-то выделил вам Global Title и сигнальные точки (SPC) и б) позволил посылать от своего имени MAP-запросы [...].
        По интернетам ходят байки, что это можно сделать за шапку сухарей в какой-нибудь банановой республике. Но реальных примеров никто так и не увидел.
        (курсив мой) ©

  16. Xokare228
    /#20418995

    Номер телефона и email в письме от РКН зацензурены гениально, так что узнаются простым копированием текста

    • RamusAkaRami
      /#20419115

      Это конечно гениально, но я думаю им безразлично, это же не номер А. Миронова.

  17. OldGrumbler
    /#20419241

    Так всегда забавно наблюдать облом халявщиков, считающих, что, раз им удалось урвать кусок бесплатных услуг, то так и надо, и халява должна быть вечной… )))
    В реальности здорового человека ВК или подобные сети-для-неимущих (социальные, ага) не должны нести ответственности в бОльшей сумме, нежели они напрямую получили от юзера за возможность для него самовыразиться на куске забора)

    • androidovshchik
      /#20419669 / +3

      подобные сети-для-неимущих

      Интересно, какие по-вашему сети для не неимущих?) Примеры?

      • Jef239
        /#20420087

        snob.ru Регистрация на год — 35 труб. Но нафига?

        • Denis_Andreevich
          /#20421237

          Карта Сноба. Подписка на 12 месяцев.

          Информация о товаре
          Проход на двоих на 200+ мероприятий: закрытые лекции, предпремьерные показы, превью выставок, ужины, привилегии от партнеров проекта и многое другое

          • Jef239
            /#20423559

            Увы, она нужна для регистрации на сайта и написания комментариев. Точнее — меня на покупку карты перекидывало при попытке регистрации на сайте. Проверьте сами, есть ли там способ писать комментарии не покупая карты?

            • Denis_Andreevich
              /#20424761

              Точно нет, без оплаты на снобе нельзя ничего делать. Я к тому, что за 35т.р в год вы получаете не только возможность зарегистрироваться на сайте и размещать посты с комментами, но и некоторые бонусы за пределами сайта.

              • Jef239
                /#20424771

                Ну бонусы — не новость, они много где есть. Но мне-то нужны только комментарии на сайте. Причем лишь пару раз в год. Так что — один из кандидатов на «соцсеть для имущих». Вроде там и свой блог вести можно?

      • bodqhrohro
        /#20423251

        Не неимущие поднимают свой сервер: начиная от тоже зависимых от хостера контейнеров и нищеVPS, и заканчивая collocation или даже подкроватными серверами. Полно софта для организации независимой почты, IM, облачных хранилищ (в том числе полно программно-аппаратных NAS), даже федеративных соцсетей. Многим удаётся даже менее технически подкованных знакомых на свои узлы втащить. А готовые вкусненькие Web2.0-ные сервисы с тоталитарным управлением — именно что для широких маломущих масс. Ну и тех, кто не гнушается их окучивать через B2C.

        Особенно сие подкрепляется наглым нарушением сетевого нейтралитета, которое наблюдается в последние годы у опсосов, причём во многих странах. Гиганты проводят к ним выделенные каналы, ставят кэширующие сервера, даже трафик к себе оплачивают — а опсосы за это дают конечным пользователям более дешёвый доступ к гигантам, чем к остальному Интернету, зачастую даже бесплатный и безлимитный.

    • vdem
      /#20419899 / +1

      1. Бывает сложно добиться справедливости и за некачественные (по части техсаппорта, например), но оплаченные услуги. Сколько уже было историй про «увод» доменных имен? А до техподдержки еще достучаться надо, и не факт что проблему решат.
      2. ВК неплохо так зарабатывает на рекламе, которую смотрят вот как раз те «неимущие». И если бы рекламодатели среди этих «неимущих» не имели покупателей, то они бы и рекламу в ВК не размещали, а ВК бы не получал от этих «неимущих» косвенную прибыль, и тогда бы не было никакого ВК

  18. mikechips
    /#20419501

    На известной публичной странице важного лица хранить личные данные — это самый простой способ попасть под прицел взломщиков. Чем он думал, когда хранил там какую-либо информацию?


    Да, ситуация нехорошая. Но "жертва" сама сделала всё, чтобы вероятность такой ситуации увеличилась.

  19. Sabubu
    /#20419607

    Вот к чему ведет безнаказанность сотовых операторов. Когда жулики из МТС сливали в сеть переписку Каца или помогали властям взламывать Телеграм оппозиционеров, им ничего не сделали, и они для себя сделали вывод, что никакой ответственности они не несут, и бороться с мошенниками незачем.


    Считаю, что судиться надо именно с МТС либо с слившим доступ сотрудником. Они тут источник зла. Не знаю, правда, что именно они или сотрудник нарушили с точки зрения закона.


    Но ответственность должна быть. Добропорядочные граждане не должны страдать от того, что банки и операторы сговорились и сделали дырявую систему аутентификации. Банки и операторы должны возмещать убытки, вызванные уязвимостями в этой системе. Иначе у них нет мотивации ее улучшать.


    Что касается данной статьи, если похищен доступ к странице бренда, то можно попробовать давить их законом о незаконном использовании торговой марки. Незаконно вести страницу якобы от лица компании.


    Если похищен доступ к обычному аккаунту, то (по моему мнению) ВК — это не паспортный стол. Вы можете найти основания удалить информацию о себе со страницы-фейка, но не можете требовать передачи доступа к ней. Глупо хранить там сколько-либо ценные данные, это просто соцсеть для обмена фоточками и сообщениями. Фоточки умнее хранить у себя, а в соцсеть просто копировать из локального хранилища.


    Про SS7 писать в таких статьях глупо. SS7 это протокол для связи сотовых операторов между собой, нас, абонентов он никак не касается. И в данном случае скорее всего "помог" украсть доступ сотрудник оператора. А что вы хотели, если нет ответственности, но есть награда за кражу данных, то найдутся желающие рискнуть.

  20. sumanai
    /#20419823

    Как обезопасить себя от взлома

    Не привязывать свой номер телефона и не пользоваться сервисами, которые требуют такой привязки, так как привязка к номеру де факто лишь добавляет ещё один весьма жирный вектор атаки.
    Хороший длинный пароль в менеджере паролей, не замеченном в массовом взломе, в сто крат надёжнее всех этих телефоном в email для восстановления.

    • Gamliel_Fishkin
      /#20420869 / -1

      Хороший длинный пароль
      Пароли o6kT0zPmTst9Tume и g6HdDjJwgih2iG0b можно считать хорошими? (Конкретно эти два пароля нигде не используются, создал их для примера в Secure password generator'е.)

      • sumanai
        /#20422747 / -1

        Были бы хорошими, если бы они были сгенерированы локально софтом с открытым исходным кодом. Например тоже самое из KeePass
        RzrJ--U*bQRW2knkjsz\
        ="Z!X*sLMJh.8#477S\$
        aSu!JMPabF8mLQgku;-~
        /Mwt=7f5d:8hz%@ahMZp
        :j.$hGz;&$3jJMZ-N:Dh

        • tvr
          /#20423387

          И тут внезапно то, на что я буквально на днях наступил:
          «Пароль должен содержать только цифры и буквы в разных регистрах, спецсимволы и буквы разных алфавитов недопустимы». Ага.
          P.S. Не минусующий, просто наблюдение свежее привёл.

          • sumanai
            /#20423815

            Правила задаются при генерации, так что нет никаких проблем ограничить его до требований сервиса.

        • vladkorotnev
          /#20426061

          Были бы хорошими паролями, если бы вы вдвоём не повыкладывали их в интернет в общий доступ :-)

          • Am0ralist
            /#20426815 / +1

            А какая разница? Кейпас же всё равно новые сгенерит по заданным правилам. От того, что вы десяток генераций выложите — безопасность паролей по данным правилам изменится никак.

            • dimm_ddr
              /#20427687

              Можно и все возможные выложить — это тоже на безопасность никак не повлияет. Ну то есть теоретически можно, на практике на хабре это вряд ли так просто получится сделать.

          • sumanai
            /#20430313

            Как бы очевидно, что конкретно эти я использовать не буду. Скажу больше, у меня немного отличаются правила генерации.

        • rombell
          /#20430695

          Вообще-то считается, что пароль

          Однажды в студёную зимнюю пору я из лесу вышел

          существенно лучше, чем пароль
          :j.$hGz;&$3jJMZ-N:Dh

          • Am0ralist
            /#20430943

            желательно латиницей и в обратном порядке, ага

  21. andreysl
    /#20420043

    В США подобные иски — дохлый номер

    echo.msk.ru/news/2467843-echo.html

    • Gamliel_Fishkin
      /#20420875

      «Суд в Калифорнии отклонил иск к компании „Фейсбук“ от российского сетевого издания ФАН. Его нередко связывают с бизнесменом Евгением Пригожиным». Решения в американских судах принимаются голосованием присяжных, разве нет? Возможно, присяжные сочли, что издание упомянутого повара бизнесмена достойно сурового отношения. А формальные основания для присяжных не столь важны, как для юристов.

      • andreysl
        /#20425627

        Обратите внимание на приговор, суть которого в том, что Facebook — частная компания, потому и вольна делать со своей социальной сетью что захочет

        Напомню, что «ВКонтакте» тоже частная компания. И Habr тоже

        • Am0ralist
          /#20426827 / +1

          Обратите внимание на приговор, суть которого в том, что Facebook — частная компания, потому и вольна делать со своей социальной сетью что захочет
          Именно поэтому она обязана модерировать соцсеть, а так же обязана баланс постов за демократов и за республиканцев поддерживать перед выборами?

          • andreysl
            /#20433593 / -2

            Повторяю, Facebook — частная компания. А потому «хозяин — барин»

            А что Трамп заставляет Facebook соблюдать баланс между демократами и республиканцами — так это их США внутреннее дело. Цензуру им в руки

  22. vladimirad
    /#20420141 / +1

    Вконтактик и МТС большие, а франшиза маленькая. Кто больше, тот и прав. Правосудие от слова право. Россия наша родина.

  23. Gamliel_Fishkin
    /#20420881 / +1

    Я зарегистрировался Вконтакте более одиннадцати лет назад. Сейчас я бы не стал там регистрироваться.

  24. Denis_Andreevich
    /#20421227

    Давно ждал статьи, подобной этой. Всегда была интересна реакция право охранителей в тот момент, когда кого-то в сети реально нужно охранять. Как чуть что где загрузкой торрентов запахло — сажать в тюрьму! Как кто-то обложку сингла Pussy от Rammstein постит — сажать в тюрму! Как у кого-то угнали акк и вроде бы как человек этим деньги зарабатывает… Так подождите? Какие социальные сети?! Какие розыскные работы?! Мы вообще в первый раз слышим про эти ваши ВКонтактики.

  25. A114n
    /#20422575

    К сожалению, так и заглохла история с попытками человека удалить свой аккаунт.
    Как уже заметили выше, сейчас я бы там не стал регистрироваться, но было бы очень хорошо, если бы кто-то наконец продавил бы право на удаление собственных данных из ВК. Пока что даже попыток каких-нибудь коллективных исков особо не видно.

    • sumanai
      /#20422773

      В итоге чтобы удалить свою страницу, где только ФИО, мне нужно спалить им ещё и паспортные данные. Шикарно.

  26. Berkof
    /#20423881 / -3

    Я всё понимаю, публичный человек, Россия… но серьёзно, кем вообще надо быть, чтобы сейчас пользоваться вконтактиком?! Таких людей уже даже и не жалко абсолютно. Это всё равно, что прыгать со скалы на парашюте из коровьих бурдюков и жаловаться, что парашют на очередном прыжке подвёл.

    • tvr
      /#20424217

      Допустим, что заметная часть ваших клиентов, действующих и потенциальных, сидят во вконтактике. Вы точно уверены, что вас там быть не должно?

    • Skerrigan
      /#20426689

      Абсолютный пример из собственного опыта — мне нужен был кастомный стол. Такого в продаже нет. В нашем городе смог найти исполнителей, готовых взяться, только в VK.
      Перевел деньги, обсудили макет. Через неделю привезли стол.
      Никакой рекламы конторы нет, вывесок тоже. И в 2ГИС их нет — просто парни с руками, готовы браться за любую «дичь»(изготовить), за которую платят.

      UPD: Пример №2 — редкие подсистемы для относительно редкой машины нахожу там же.
      Да и по ремонту-диагностике — туда же, в VK

      Пример №3 — там есть официальное сообщество лейбла из Ванкувера (Monstercat). Через их саппорт проще получать всякий мерч. И в целом подача материала на родном языке — проще.

  27. MacIn
    /#20429805

    МТС — это чудо-контора какая-то.

    Пример: зарегистрирован свежий номер. Этот номер указан в ФНС при регистрации ИП, все, больше нигде его нет.
    Через пол-часа после занесения в ЕГРИП, еще до того, как я сам узнал об этом, начинают звонить банки «не хотите ли у нас обслуживаться». Слив номера (который публично в выписке ЕГРИП не содержится) — либо из ФНС, либо из МТС. По поводу ФНС все же сомневаюсь, а учитывая репутацию МТС и предыдущие их сливы — вполне.

    • Irgen
      /#20431287

      Однозначно налоговая. Иначе как бы МТС мог узнать что вы открыли ИП и вписали этот номер?

      • MacIn
        /#20431339

        МТС никак. Вы не понимаете.
        У банка есть возможность легально запрашивать выписку ЕГРИП, поэтому они получают сигнал «Иванов Иван Иваныч теперь ИП» почти в реальном времени, и это легально (насколько я понимаю).
        Теперь вопрос в том, как связать Иванова с его телефонным номером…
        Да, при регистрации в ФНС номер тоже оставляется, но он необязательно утекает оттуда. Так что все равно 2 варианта.

        • imm
          /#20433277

          у ФНС есть услуга — 100к в год стоит доступ к БД с ИП (ещё 100к к БД юрлиц), и телефоны там тоже есть

          • MacIn
            /#20434315

            у ФНС есть услуга — 100к в год стоит доступ к БД с ИП

            Верно, и таким образом они получают информацию о регистрации нового ИП.
            Собственно, как я и написал выше: «У банка есть возможность легально запрашивать выписку ЕГРИП».

            и телефоны там тоже есть

            Для ИП — нет (не должно быть). В отличие от юрлица, для ИП телефон является личными данными и не выдается официально нигде, кроме расширенной выписки, которую только сам ИП может взять на себя. В соответствии с законом о личных данных. Передача этой информации третьим лицам — незаконна.

  28. RomanPyr
    /#20435957

    судя по ответу ВК, они требуют два документа:
    — от МТС, что договор заключён с физическим лицом (или юридическим, но оно прислало информацию о пользователе номера);
    — от Полиции, квитанцию в приёме заявления о мошенничестве.